TADетали:
Как системы DLP помогают контролировать удаленную работу сотрудников

Зачем контролировать сотрудников «на удаленке»

Проблему контроля сотрудников «на удаленке» следует рассматривать с точки зрения безопасности и с точки зрения эффективности работы на дому. С переходом компаний на работу из дома эксперты «Ростелеком-Солар» зафиксировали 25-процентный рост числа инцидентов, связанных как со случайной утечкой конфиденциальной информации, так и с попытками умышленного «слива» данных. Виной всему рост документооборота и «домашняя атмосфера».

Во время самоизоляции увеличился обмен документами, в том числе содержащими конфиденциальные данные, в электронных коммуникациях. А значит, возникли дополнительные предпосылки для утечек информации: при удаленной работе грань между рабочим и личным пространством стирается, и риск непредумышленной утечки возрастает. Кроме того, дома сотрудники чувствуют себя более расслабленными – могут по ошибке отправить документ не туда или же умышленно слить информацию. Отсутствие «офисных» сдерживающих факторов: камер видеонаблюдения, коллег рядом, приводит к тому, что сотрудник может без стеснения скачать конфиденциальные данные, например, на съемный носитель. Галина Рябова, руководитель направления Solar Dozor компании «Ростелеком-Солар»

Консоль системы DLP фиксирует рост обмена конфиденциальной информацией

Однако неэффективная работа сотрудников и сбой бизнес-процессов может нанести компании даже больший ущерб, чем утечка данных.

Простой пример из нашего опыта последних месяцев: два подразделения, участвующих в одном бизнес-процессе, разошлись на удаленке по времени начала работы почти на 3 часа. Это минус 3 часа продуктивного времени для совместного решения задач компании, – отмечает Галина Рябова.

Поэтому сейчас, как никогда, актуальны возможности DLP-систем в части мониторинга активности и анализа поведения сотрудников.

Как оценить эффективность удаленной работы

Один из результатов массовой практики надомной работы в период пандемии — недавно внесенный в Госдуму РФ законопроект о дистанционной и временной удаленной работе. В документе хотят зафиксировать, что при переводе сотрудника на удаленную работу его заработная плата должна оставаться неизменной, и утвердить сохранение всех положений ТК РФ, связанных с переработкой в будни или в выходные.

Проблема в том, что «на удаленке» рабочий день сотрудника размывается. Как работодатель может проконтролировать, перерабатывает ли сотрудник в выходные или «закрывает долги», связанные с недоработками в будни? Встречаются и обратные ситуации: в любых организациях есть сотрудники, которые постоянно перерабатывают на дому, – рассказывает Галина Рябова. – Так, по нашим наблюдениям, во время вынужденной самоизоляции заметно выросла нагрузка на менеджеров среднего звена и руководящий состав компаний. Среднее время их работы увеличилось до 12 часов в сутки. Несколько месяцев такой «пахоты» непременно приведут к выгоранию сотрудников и потере ценных кадров в перспективе.

Рабочая неделя руководителя до перехода на удаленную работу

Рабочая неделя руководителя после перехода на удаленную работу

Для определения того, сколько времени удаленный сотрудник уделил непосредственно работе, на его рабочем ноутбуке или виртуальной рабочей станции устанавливается endpoint-агент, который собирает данные об активности пользователя:

• во сколько он начал/закончил работать (разблокировал/заблокировал ноутбук);
• сколько из этого времени сотрудник активно работал в приложениях (двигал мышью, нажимал на клавиши);
• какие приложения в это время использовал (помогает понять, занимался ли сотрудник рабочими процессами или решал личные вопросы);
• на какие сайты в браузере заходил.

Грамотно визуализированная статистика позволяет за секунды получить общее представление об активности компании, подразделения или работника в течение дня. А потратив еще пару минут на ее анализ, можно получить детализацию по конкретным действиям работника, – поясняет Галина Рябова. – Это гораздо эффективнее и быстрее, чем тратить время на просмотр скриншотов экрана, записи веб-камеры или на прослушивание записи микрофона с ноутбука сотрудника за 8-часовой рабочий день.

Сводная статистика активности сотрудника в течение рабочего дня

Возможности систем класса DLP для защиты от утечек

Еndpoint-агенты, установленные на корпоративных ноутбуках сотрудников, позволяют эффективно защитить данные от утечек. Дополнительную защиту дает организация доступа персонала к внутрисетевым ресурсам компании через защищенные VPN-каналы. При таком доступе DLP-система контролирует все действия сотрудников через эти каналы внутри периметра.

На рынке есть сервисы для организации безопасной работы сотрудников в корпоративной сети предприятия и с личных устройств. Комплексное решение может быть реализовано по двум сценариям. Первый, базовый сценарий, предполагает доступ удаленных сотрудников через терминальный сервер. Такой сервер, расположенный в облаке, адресует все запросы сотрудников к внутрисетевым ресурсам компании. Данные запросы могут направляться на анализ в DLP-систему, чтобы служба информационной безопасности могла контролировать действия в отношении конфиденциальной информации.

Схема доступа удаленных сотрудников через терминальный сервер

Второй, расширенный сценарий, предполагает работу DLP-системы в наборе с другими средствами защиты – антивирусом, защитой от сетевых угроз, шифрованием – в рамках VDI-фермы. В данной защищенной виртуальной среде находится все содержимое виртуальных рабочих станций сотрудников компаний-заказчиков.

Удаленный сотрудник может подключиться к своей рабочей станции с домашнего ноутбука и полноценно выполнять свои рабочие обязанности. При этом все несанкционированные действия сотрудника с конфиденциальной информацией — копирование файлов, сохранение буфера обмена и другие ненадлежащие операции с данными – блокируются средствами VDI-фермы.

Работа DLP-системы в рамках VDI-фермы

Установка endpoint-агента DLP-системы Solar Dozor на терминальном сервере или на каждой виртуальной рабочей машине пользователя в ферме, помимо защиты от утечек, позволяет контролировать и эффективность работы удаленного сотрудника.

Как выбрать DLP-систему

Представленные на рынке DLP-системы по функционалу довольно близки, поэтому заказчику следует обратить внимание на то, насколько быстро он может решать свои задачи с помощью того или иного инструмента.

Это в первую очередь зависит от уровня автоматизации и предоставляемых системой готовых срезов данных. Зрелые DLP-решения дают широкий набор удобных аналитических инструментов, при этом немаловажным преимуществом является возможность перейти от агрегированных показателей к детализированной информации.Рынок аутсорсинга информационной безопасности в России: особенности развития и перспективы. Обзор TAdviser 6.2 т

Важный показатель — скорость, с которой сотрудник службы безопасности освоит новую систему. В реальности его внимание скорее сфокусировано не на событиях и данных, а на группах сотрудников и конкретных людях, поэтому важно, чтобы информация по работникам и группам людей агрегировалась и систематизировалась.

Досье сотрудника в DLP-системе

Хорошим подспорьем будет наличие удобной и наглядной классификации всех событий и инцидентов: по жизненному циклу, по критичности, по типам угроз, по группам пользователей, по времени. Применение контекстного фильтра позволяет быстро увидеть количество инцидентов по выбранному критерию, а возможность осуществлять групповые действия над событиями колоссально экономит время на их обработку.

Применение фильтров к событиям и инцидентам в DLP-системе

В целом, необходимо помнить: мелкие потери времени на больших объемах информации в процессе ее ручной обработки складываются в потраченные десятки часов, – акцентирует Галина Рябова. – Последние, в свою очередь, чреваты нераскрытыми преступлениями и непредотвращенными угрозами.

Внедрение DLP: этапы и стоимость

DLP-системы существуют на рынке уже 15–20 лет. Технологически процесс их внедрения в инфраструктуру отработан почти до автоматизма и занимает от нескольких дней до нескольких месяцев.

Зрелые DLP-системы, как правило, имеют стандартные политики, которые позволяют начать эффективное использование функционала защиты от утечек сразу же после внедрения. Однако удлинить процесс внедрения DLP-системы может, например, необходимость ее интеграции с какими-либо смежными решениями для выстраивания сквозных процессов. Сроки внедрения также увеличиваются, когда заказчику недостаточно стандартных политик, и он хочет максимально кастомизировать решение под себя. Если необходимо настроить работу системы в разрыв, лучше проводить внедрение поэтапно, чтобы минимизировать влияние системы на бизнес-процессы в период отладки политик.

Стоимость DLP систем, как правило, зависит от количества сотрудников в компании-заказчике и набора требуемого функционала. А на стоимость внедрения в инженерной части больше всего влияет количество точек интеграции, в аналитической – степень кастомизации политик фильтрации и потребность в выстраивании процессов работы с системой и в обучении сотрудников. Иногда на последнем бизнес экономит и не получает максимального возврата инвестированных средств.

Подводные камни при внедрении DLP

При внедрении DLP-систем могут возникать различные организационные сложности. Например, в крупных компаниях за автоматизацию отвечают ИТ-подразделения, и иногда на начальном этапе проекта внедрения системы защиты утечек к нему подключаются лишь технические специалисты заказчика. Вендор вместе с ними ведет проект, и только на финальной стадии к нему подключается функциональный заказчик – представитель службы безопасности. И тут выясняется, что уже практически внедренная система не решает важные для него задачи безопасности. Чтобы такого не происходило, функциональный заказчик должен участвовать во всех этапах внедрения, от начала и до конца проекта.

Кроме того, заказчику необходимо обращать внимание на квалификацию специалистов, осуществляющих внедрение. Если систему внедряет интегратор, то надо посмотреть на опыт его реализации таких проектов: на наличие в команде аналитиков и на достаточность их опыта.